Анализ результатов теста антивирусов на защиту от новейших (Zero-day) вредоносных программ (ноябрь 2009)

При переходе по ссылкам на опасные веб-страницы фиксировались все изменения тестовой системы, сообщения от установленных HIPS и антивирусных и программ.

При открытии опасной ссылки заражение системы могло быть предотвращено на одной из следующих стадий:

  1. Обнаружение эксплойта на открытой веб-странице (вредоносного скрипта) или блокировка открытия страницы анти-фишинговым модулем.
  2. Обнаружение программы загрузчика, переданной при помощи эксплойта (специальной программы, которая используется для загрузки на компьютер жертвы других вредоносных программ, например, трояна) веб-антивирусом или файловым антивирусом.
  3. Обнаружение загруженной вредоносной программы в процессе ее установки (как правило, при помощи поведенческого анализа).
  4. Предупреждение пользователя о потенциально опасном сайте или файле, основываясь на его рейтинге в репутационных сервисах (модель "In The Cloud").

При любом из приведенных выше вариантов предотвращения заражения антивирусу ставился 1 балл. Различий не делалось, так как с точки зрения пользователя не имеет значения, на каком этапе, и какой именно компонент защиты устранил угрозу заражения. Главное - она ликвидирована. Если заражение не было предотвращено, в том числе и частично, то антивирусу ставилось 0 баллов.

На деле такая система оценки означает следующее. 1 балл ставился, если попытка заражения  была обнаружена в явной форме или было обнаружено подозрительное действие, и при этом заражение полностью приостановлено при условии правильного выбора пользователя в диалоговом окне (об обнаружении опасного действия, предотвращении попытки заражения, обнаружении попытки запуска подозрительной программы, обнаружении попытка изменения файлов и т.д.). Во всех остальных случаях ставилось 0 баллов.

Стоит отметить, что в некоторых случаях присутствие вредоносной программы на компьютере могло обнаруживаться уже после заражения при помощи файлового монитора или firewall/IDS, но справиться с заражением антивирус не мог. В этом случае антивирусу все равно ставилось 0 баллов, так как он не защитил от заражения.

Программы класса HIPS оценивались по такому же принципу, как и антивирусы. Им ставилось 1 балл во всех случаях, когда было обнаружена вредоносная или подозрительная активность и было предотвращено заражение.

 

Схема награждения

Для каждого тестируемого антивируса или HIPS-продуктов подсчитывалось суммарное количество баллов и их процент от максимально возможного (36 баллов). В итоге лучшие продукты получают соответствующие награды при выполнении определенных условий:

Platinum Zero-day Protection Award
Изображение GIF (500х500px)
Изображение PSD (300dpi)

Награда Platinum Zero-day Protection Award присваивается, если антивирус обнаружил свыше 95% новейших вредоносных программ.

Gold Zero-day Protection Award

Изображение GIF (500х500px)
Изображение PSD (300dpi)

Награда Gold Zero-day Protection Award присваивается, если антивирус обнаружил свыше  80% новейших вредоносных программ.

Silver Zero-day Protection Award

Изображение GIF (500х500px)
Изображение PSD (300dpi)

Награда Silver Zero-day Protection Award присваивается, если антивирус обнаружил свыше 60% новейших вредоносных программ.

Bronze Zero-day Protection Award

Изображение GIF (500х500px)
Изображение PSD (300dpi)

Награда Bronze Zero-day Protection Award присваивается, если антивирус обнаружил свыше 40% новейших вредоносных программ.

 

Если антивирус обнаружил менее 40% новейших вредоносных, то он считается провалившим тест, а его общая эффективность против новейших видов угроз низкой.

Изображение PSD (300dpi)

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.